¿Cómo inicio de sesión único de autenticación funciona en servidor de león

Autenticación de inicio de sesión único Mac OS X Kerberos es una forma segura y sin dolor para conectarse a un montón de servicios que van Lion únicos, amplios cuando está configurado como un maestro de Open Directory.

Si un usuario necesita para conectarse a muchos servicios únicos, que podría enviar un nombre de usuario y contraseña para cada servicio, abriendo un camino para que un malhechor para interceptar y descifrar la contraseña. La alternativa más segura es usar Kerberos inicio de sesión único la autenticación, en la que el usuario introduce una contraseña de una vez y tiene acceso a todos los servicios.

Con Kerberos habilitada, la contraseña nunca se transmite por la red. En su lugar, una serie de cuestiones del sistema de venta de entradas cifran fichas llaman entradas y autentica una vez (por lo general de la ventana de inicio de sesión de Mac OS X), y las entradas posteriores permiten el acceso a otros servicios compartidos.

Piense en Kerberos como pasar el día visitando un parque de diversiones populares. Lo primero que haces cuando llegas al parque es comprar un pase. Este pase es su boleto concesión vale Kerberos (TGT), emitido por el Centro de distribución de claves Kerberos (KDC) cuando se conecte a Mac OS X en un directorio compartido.

En el parque, usted paga el costo de la entrada y acceder a la base de todo el día. Los usuarios inician sesión en una vez y obtener acceso a todo el parque. Sin embargo, el pase no significa automáticamente que usted puede saltar en cualquier viaje o que conseguir perros calientes y palomitas de maíz. Usted todavía tiene que hacer cola para cada utilización y pagar por sus bocadillos.

En Kerberos, el TGT se presenta cuando se accede a un servicio, tales como el intercambio de archivos o correo electrónico. El KDC crea un nuevo ticket de servicio que su cliente utiliza para autenticarse en el servicio. Pero el usuario no se presenta con una pantalla de inicio de sesión después de que la primera entrada.

Cuando el parque se cierra, su pase no es bueno para el día siguiente. En Kerberos, al cerrar la sesión, los boletos TGT y de servicios se destruyen. Si alguien ha logrado encontrar la manera de romper en el sistema de entradas, TGT son buenos para un período determinado de tiempo sólo: diez horas después del inicio de sesión de Mac OS X Server. Y los tickets de Kerberos se almacenan en la memoria RAM, no el disco duro.

Mac OS X Server es fácil de configurar como un KDC-cuando lo creó como un maestro de Open Directory, un KDC se configura automáticamente. Open Directory también puede hacer uso de otro KDC se ejecuta en otro servidor, como por ejemplo un controlador de dominio de Active Directory. En Mac OS X, se puede ver, crear y destruir TGT utilizando la aplicación Visor de entradas que se encuentra en / System / Library / CoreServices.

Ver TGT y entradas de servicio para el usuario actual escribiendo klist en la Terminal y pulsando Retorno. He aquí un ejemplo de lo que puede llegar:

cliente: ~ lianabare $ klistDefault director: [email protected] Arranque Expira Servicio Principal06 / 30/11 14:24:40 06/30/11 00:24:40 krbtgt/[email protected]. COMrenew hasta 30/06/11 14: 24: 3406/30/11 14:24:41 06/30/11 00:24:40 afpserver/[email protected] hasta 30/06/11 14: 24: 3406/30/11 14:24:59 06/30/11 00:24:40 http/[email protected] hasta 30/06/11 14: 24: 3406/30 / 11 14:26:27 06/30/11 00:24:40 06/30/11 14:24:34 xmpp/[email protected] hasta